[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Exim und SSLv3.0 in Jessie?

Am Fr, 24. Jul 2015 um 10:34:26 +0200 schrieb Heiko Schlittermann:
> Dirk Griesbach <spamthis@freenet.de> (Fr 24 Jul 2015 07:55:04 CEST):
>> Dieses 'etwas Schutz' für diesen einen veralteten Client erkaufst du dir
>> mit potentieller Angreifbarkeit aller Verbindungen aller anderer
>> Server/Clients, selbst wenn die besseres als SSLv3 können. 
> 
> Das habe ich im zitierten RFC nicht so gelesen.

Wenn zwei Endpunkte die TLS-Version aushandeln, kann ein Angreifer
dazwischenfunken und eine niedrigere Version erzwingen. Es gibt ja immer
mal Gegenstellen, die nicht so dolle funktionieren und das auch nicht
kommunizieren können und bevor man gar nicht verschlüsselt… Und dann
kommt ein POODLE und beißt dich in den Hintern.
 
> vielleicht merkt es ja dann auch die andere Seite irgendwann. Aber wenn
> ich mir den oben zitierten WHOIS-Record ansehe, habe ich da eher keine
> Hoffnung. Aber vielleicht verkaufen die das mal wieder mit großem
> Marketing-Getöse, wenn sie auf neuere TLS-Versionen umstellen.

Wenn die Umsetzung einer Selbstverständlichkeit nicht wieder 10+x Jahre
dauert, können die wegen mir auch gern eine Anzeige im Lokalblatt
schalten. ;)

Dirk
Reply to: